「WEBアプリケーション脆弱性診断専門サイト」ウィダイアグ
MENU

ネットワーク侵入

こちらでは、脆弱性におけるネットワークへの侵入について紹介しています。脆弱性診断について気になっている人は、ぜひ参考にしてみてください。

ネットワーク侵入の対策方法

アプリケーションのアップデート

基本的な対策方法は、アプリケーションを常に最新の状態にアップデートすることです。提供元から脆弱性の修正に関する更新が発表された場合、アップデートすることでセキュリティの穴を修正し、情報流出のリスクを低減できます。

特に外部公開しているWebサーバーに脆弱性が見つかった場合は、迅速な対応が求められます。

サーバー上の不要なサービスの停止

攻撃者から見ると、稼働してるサービスが多いほどネットワーク侵入の経路は増えます。
そのため、サーバー上で稼働しているものの、現在利用していないサービスは極力停止するべきです。

特に悪用されやすいサービスの代表例はパソコンの遠隔操作サービスであるTelnet、ファイル転送サービスのFTPです。

セキュリティを高める施策は、現在稼働してるサービスの確認と必要なサービスを選定し、利用するサービスを最小限に絞ることが重要です。

不正対策サービスの導入

不正対策サービスの導入には、まずファイアウォールの設置が重要です。
ファイアウォールは、ネットワーク外部からの不正アクセスや攻撃を防ぐためのセキュリティシステムです。ファイアウォールを導入すると、ネットワーク上の通信を監視し、許可されていない通信をブロックすることで不正アクセスや攻撃を防ぐことができます。

他にはIPSというセキュリティシステムを導入するのも有効です。これにより不正侵入を検知した際に、異常な通信をブロックしたり、不正なアクセスの遮断が可能になります。

ネットワークのセキュリティを高めるためには、こういった不正対策サービスの導入は必須であるといえるでしょう。

パーミッションの設定

パーミッション(ファイルやディレクトリへのアクセス権限)の設定も自社のセキュリティを高める上で重要です。まず、収集した機密情報のファイルは利用者がインターネット経由で接続できないように設定しましょう。
個人情報が流出した事例の多くは、このパーミッションの設定が上手く行われていなかったことが原因です。

そのため、自社の機密情報や個人情報を守る上でパーミッションの設定も必須です。

代表的なネットワークへの侵入例

マルウェア

悪意のあるソフトウェアの総称をマルウェアといいます。ウイルスやワーム、トロイの木馬などが有名ですが、最近では「ランサムウェア」というマルウェアによる被害が急激に増加しています。

ランサムウェアとは、身代金を目的としたマルウェアのことです。このランサムウェアに感染すると、その端末の操作やデータへのアクセスがロックされ、「ロックを解除してほしければ身代金を支払え」と脅迫されます。これには、セキュリティソフトを先進の状態にしておく、不審なファイルを開かないなどの基本的な対策が必要です。

ゼロデイ攻撃

ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見された直後の更新プログラムが未提供の段階で行われるサイバー攻撃です。ソフトウェアの開発メーカーは、脆弱性が発見されるとプログラムに修正を施して更新プログラムを提供するのですが、脆弱性が発見されてすぐに更新プログラムを完成させることができるかといえば、そうではありません。

プログラムを開発している間に起こるゼロデイ攻撃は、防ぐことが非常に難しいです。企業単位で、不正アクセスやマルウェア感染を防止するためのセキュリティ対策を日頃から講じておく必要があります。

VPN関係の脆弱性

社外から、リモートワークを行うために社内のネットワークに接続するための技術を「VPN」と呼びます。このVPNに脆弱性があれば容易に社内ネットワークに不正アクセスされ、データの改ざんや盗聴などが行われる可能性が高まります。

VPNに関するサイバー攻撃は、利用する人のセキュリティ意識の低さから引き起こされることもあります。ログイン情報の管理が甘ければ、第三者による不正アクセスの原因になってしまうかもしれません。

ネットワークへの侵入が起きる原因

脆弱性のあるプログラムは、専用のソフトを使えば簡単に発見できてしまいます。サイバー攻撃者は、脆弱性を放置している企業のホームページなどに目をつけ、さまざまな脆弱性を利用して内部ネットワークへ侵入しようとしてくるのです。

本サイトでは、WEBアプリケーションの脆弱性診断をしてくれる会社の中で、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりする特に信頼のおける会社を2社、状況・課題別に紹介しています。

専門家に依頼して脆弱性診断をしたい場合、それぞれ会社ごとに特徴があるので、よく確認してみましょう。

[状況・課題別]
おすすめの
WEBアプリケーション
脆弱性診断会社2選をみる

よく読まれている関連記事

[状況・課題別]
WEBアプリケーション
脆弱性診断会社 3選

WEBアプリケーション脆弱性診断に対応している会社を、「実績数」「セキュリティ性の高さ」「納期」に着目したうえでピックアップしたおすすめ3社をご紹介します。

RSコネクト

株式会社RSコネクト公式サイト「セキュリティ診断コンシェルジュ」
画像引用元:株式会社RSコネクト公式サイト「セキュリティ診断コンシェルジュ」
https://va.rsc.ne.jp/
実績※1

地方自治体 550件以上
独立行政法人 167件以上
中央官庁・民間企業など500団体

セキュリティ性
  • ISO 27001認証取得
  • ISO 9001認証取得
  • Pマーク取得
  • OWASPに基づいた診断
  • WASCに基づいた診断
  • IPAに基づいた診断
最短納期

3営業日以内

RSコネクト
公式サイトで
診断特徴をみる
電話で問い合わせる
(月曜~金曜 9:00~18:00)
もっとこの会社の詳細を見る

VERISERVE

株式会社ベリサーブ公式サイト
画像引用元:株式会社ベリサーブ公式サイト(https://www.veriserve.co.jp/service/detail/app-vulnerability.html)
実績※2

産業システム 約14,400件
オートモーティブ 約11,000件
など累計プロジェクト数
約34,000件

セキュリティ性
  • OWASPに基づいた診断
  • IPAに基づいた診断
最短納期

記載なし

VERISERVE
公式サイトで
診断特徴をみる
もっとこの会社の詳細を見る

サイバーセキュリティ
クラウド

株式会社サイバーセキュリティクラウド公式サイト
画像引用元:株式会社サイバーセキュリティクラウド公式サイト
https://www.cscloud.co.jp/
実績※3

累計診断実績 約2,000件

セキュリティ性
  • ISO 27001認証取得
  • OWASPに基づいた診断
  • IPAに基づいた診断
  • WASCに基づいた診断
  • SANSに基づいた診断
最短納期

3営業日以内

サイバーセキュリティ
クラウド
公式サイトで
診断特徴をみる
電話で問い合わせる
(受付可能時間不明)
もっとこの会社の詳細を見る

(※1)地方自治体…2021年4月時点ののべ実績。各市区町村の教育委員会の個別契約実績も含みます。
独立行政法人…2021年4月時点ののべ実績。独立行政法人の他に、それに類する団体も含みます。

(※2)2023年3月期までの累計実績

(※3)2020年に買収したソフテック社が1998年より事業を開始してからの26年間での累計実績

【選定基準】
2024年1月25日の調査にて、Googleで「WEBアプリケーション 診断」と検索した際上位100位サイトに表示されるWEBアプリケーション診断サービスを有料で実施している会社67社のうち、OWASPトップ10のリスト(※4)を網羅している且つIPAの基準に準じた診断項目になっている(※5)ことが公式HPから分かり、実績数が掲載されている3社をピックアップ
(※4)The OWASP Foundationにより、世界中の利用実態に基づいて悪用のしやすさ、検知のしやすさ、および影響についての共通認識の推計を組み合わせた上で、選択し優先順位付けされたセキュリティ脅威のTop10
OWASP公式HP:https://owasp.org/API-Security/editions/2023/en/0x11-t10/
(※5)独立行政法人 情報処理推進機構が提唱している安全なWebサイトの作り方
IPA公式HP:https://www.ipa.go.jp/security/vuln/websecurity/about.html